Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Logische Trennung ausreichend (DMZ)?

Frage Netzwerke LAN, WAN, Wireless

Mitglied: ThomasAnderson

ThomasAnderson (Level 1) - Jetzt verbinden

22.05.2014, aktualisiert 17.06.2014, 1784 Aufrufe, 5 Kommentare, 3 Danke

Hallo,

ich kenne aus den Vorlesungen die strikte Trennung:

Internet<--->Firewall<--->DMZ<--->Firewall<--->internes Netz
rot - orange - grün

Beim NW Redesign geht es jetzt darum, die Netze nicht nur redundant auszulegen sondern auch eventuelle Sicherheitsfehler zu beheben.
Dass eine physikalische Trennung zw. den Zonen die sauberere ist ist klar.

Aber reicht eine logische Trennung (über VLANs) auch aus? (Es gibt ja auch Möglichkeiten wie VLAN Hopping etc.).
Also die Firewalls können theoretisch nicht umgangen werden, da die Verbindungen immer über die VLANs zur FW geroutet werden, aber rein physikalisch wäre das möglich.

Wir haben Drucker Netzte etc. auch "nur" über VLANs getrennt, wie es ja eigentlich üblich ist. Aber ich denke nicht, dass diese Trennung einem FW Konzept von der Schwere her gleich gilt.

Vielen Dank für Eure Tipps.

Gruß
Mitglied: brammer
LÖSUNG 22.05.2014, aktualisiert 17.06.2014
Hallo,

abhängig davon wie gut der Angreifer ist. kann das reichen, es bleibt aber ein Restrisiko das mir persönlich zu hoch wäre.

Bei dynamischen VLAN's mit MAC Adress Identifikation bleibt das Risiko das ein Angriefer von innen durch MAC adress Spoofing in ein VLAN kommt in das er nicht soll.

Eine DMZ sollte immer aus (min.) 2 physikalischen Geräten + Redundanz auf beiden Seiten, also insgesamt 4 oder mehr Geräte bestehen.

brammer
Bitte warten ..
Mitglied: ThomasAnderson
22.05.2014 um 13:46 Uhr
Hi,

mit 4 Geräten meinst Du wahrscheinlich jeweils red-orange und orange-green redundante Firewalls?
Bitte warten ..
Mitglied: brammer
22.05.2014 um 13:48 Uhr
Hallo,

ja.
Auf beiden Seiten sollte eine Redundanz vorhanden sein.

brammer
Bitte warten ..
Mitglied: Lochkartenstanzer
22.05.2014 um 14:36 Uhr
Zitat von ThomasAnderson:

Wir haben Drucker Netzte etc. auch "nur" über VLANs getrennt, wie es ja eigentlich üblich ist. Aber ich denke
nicht, dass diese Trennung einem FW Konzept von der Schwere her gleich gilt.

Das hängt von sehr viele Faktoren ab, wie der vorhandenen hardware, wie gut der Admin ist, der das Konfiguriert, welche Bugs die Firmware hat, auf welcher basis das VLAN aufgespannt wird, etc.

Wie immer muß man einfach das Risiko gegen den Aufwand abwägnen und die Lösung hinstellen, die das Budget verkraftet und einen ruhig schlafen läßt.

ist wie bei den banken auch. da könnte man auch das Onlinebanking so sicher machen, daß kaum noch Angriffe möglich sind, Aber das kostet so viel Geld, daß die banken es lieber den Schaden durch phishing in kauf zu nehmen, weil das blliger für sie ist.

lks
Bitte warten ..
Mitglied: ThomasAnderson
02.06.2014 um 13:47 Uhr
Hat noch jemand ein gutes Beispiel? Wie z.B. wenn auf einem Switch ausversehen das selbe VLAN eingerichtet wird, kann die DMZ umgangen werden wenn diese rein logisch vorliegt.

Ansonsten @Lochkartenstanzer: Ich denke das Risiko ist hoch genug
Bitte warten ..
Ähnliche Inhalte
Backup
Backup Server - Räumliche Trennung? (9)

Frage von Meterpeter zum Thema Backup ...

Router & Routing
Fritzbox 7560 mit DMZ oder Gastzugang (4)

Frage von kschi12 zum Thema Router & Routing ...

Netzwerkmanagement
DMZ hinter Fritzbox (11)

Frage von leon123 zum Thema Netzwerkmanagement ...

Netzwerkmanagement
gelöst Hyper-V - VLAN - BACKUP-Trennung (3)

Frage von AlexPf zum Thema Netzwerkmanagement ...

Neue Wissensbeiträge
RedHat, CentOS, Fedora

Fedora, RedHat, Centos: DNS-Search Domain setzen

(13)

Tipp von Frank zum Thema RedHat, CentOS, Fedora ...

Drucker und Scanner

Samsung SL-M4025ND, firmware update und (kompatible) Tonerkassetten

(1)

Erfahrungsbericht von markus-1969 zum Thema Drucker und Scanner ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Komplett neues Netzwerk, Ubiquiti WLAN, Router, Switch (16)

Frage von Freak-On-Silicon zum Thema LAN, WAN, Wireless ...

CMS
Lokales Wordpress im LAN - wie aufsetzen? (16)

Frage von Static zum Thema CMS ...

LAN, WAN, Wireless
IP im privaten Netz nicht erreichbar (14)

Frage von guntis zum Thema LAN, WAN, Wireless ...

Windows Userverwaltung
gelöst Wie verfahrt Ihr mit den Windows-Benutzerkonten und -dateien von ausgeschiedenen Mitarbeitern? (14)

Frage von Bl0ckS1z3 zum Thema Windows Userverwaltung ...